論企業(yè)“合規(guī)”的利器
——隱私協(xié)議

(湘潭大學(xué)法學(xué)院 湖南 湘潭 411100)

2018年新年伊始，支付寶“年度賬單”事件刷爆朋友圈，也讓“隱私協(xié)議”一詞抓住了大眾的眼球。支付寶推出了年度賬單回顧，用戶通過“上劃”這一動作就可以查看自己的消費賬單。用戶作出“上劃”賬單這一動作的同時就意味著同意了芝麻服務(wù)協(xié)議，則芝麻信用就可以按照自己的“隱私協(xié)議”收集用戶信息。這無疑是支付寶利用用戶的“疏忽大意”使用戶“被動”地同意其“隱私協(xié)議”的惡意事件。究其原因，無疑是大數(shù)據(jù)時代到來，信息能為企業(yè)帶來巨大的經(jīng)濟利益以及市場占有率，對信息的占有和控制成為了企業(yè)間新的爭奪焦點。然而，在實踐中，這類“不合規(guī)地”收集、抓取個人信息的現(xiàn)象較少。近年來，保護個人信息的呼聲高漲，以及《網(wǎng)絡(luò)安全法》等法律法規(guī)相繼頒布，都對企業(yè)合規(guī)提出更多要求。為了在收集更多信息的同時又不觸碰規(guī)則的底線，“隱私協(xié)議”便成為了企業(yè)合規(guī)的“利器”。

一、現(xiàn)行立法對個人信息的保護

近年來，我國加快了個人信息安全保護的立法和修法進程。2017年11月4日，我國《反不正當(dāng)競爭法》歷時24年后首次修訂，專設(shè)“互聯(lián)網(wǎng)專條”。《民法總則》首次將“個人信息”“信息”和“網(wǎng)絡(luò)虛擬財產(chǎn)”納入其中。以及《網(wǎng)絡(luò)安全法》明確加強了對個人信息的保護，嚴格打擊網(wǎng)絡(luò)詐騙等。

此外，《信息安全技術(shù)個人信息安全規(guī)范》對個人信息的基本定義、原則和收集、存儲、傳輸?shù)确矫娑继岢隽嗽敿毜匾蟆Ｓ谄涞谒恼旅鞔_提出了目的明確、權(quán)責(zé)一致、公開透明、最少夠用以及確保安全等個人信息保護的基本原則。對信息的跨境傳輸、共享、公開披露、轉(zhuǎn)讓、委托處理等均提出了詳細要求。①

二、隱私協(xié)議成為企業(yè)“合規(guī)”的利器

企業(yè)為了最大化地收集用戶信息，又不觸碰規(guī)則的底線，便紛紛推出隱私協(xié)議。以《支付寶服務(wù)協(xié)議》為例，其要求用戶提交的個人信息包括但不限于會員號、支付寶賬戶、密碼、數(shù)字證書、電話號碼、身份證件號碼及指紋信息等。前述信息有許多跟個人財產(chǎn)及隱私息息相關(guān)的信息，一旦泄露將給個人帶來無窮隱患。然而，在其隱私協(xié)議中明確規(guī)定：“使用身份要素進行的任何操作、發(fā)出的任何指令均視為用戶本人做出。因用戶的原因造成的賬戶、密碼等信息被冒用、盜用或非法使用，由此引起的一切風(fēng)險、責(zé)任、損失、費用等應(yīng)由用戶自行承擔(dān)。”支付寶是一個相對封閉的網(wǎng)絡(luò)服務(wù)平臺，用戶在使用支付寶時，很難接觸到非支付寶推送的其他運營商(即在支付寶服務(wù)中的第三方服務(wù)商多為跟其有合作或經(jīng)其同意才能在支付寶平臺上提供服務(wù)的第三方)。因此，《支付寶服務(wù)協(xié)議》將用戶使用身份要素的任何指令均視為用戶做出，引起的一切風(fēng)險由用戶自行承擔(dān)，無疑是其為獲得最大利益而設(shè)置“要約陷阱”。

并且，在其隱私協(xié)議中，明確規(guī)定支付寶會基于提供服務(wù)或其他目的向合法存有支付寶用戶信息的第三方收集信息。支付寶認為需要時，用戶需同意支付寶可以把用戶的信息提供給第三方。根據(jù)其隱私協(xié)議，支付寶還會向關(guān)聯(lián)公司、我們的供應(yīng)商或合作伙伴共享用戶的信息。而支付寶對因為前述第三方的不當(dāng)行為導(dǎo)致用戶信息泄露，用戶個人隱私、經(jīng)濟財產(chǎn)安全等遭受侵害這類風(fēng)險背后的責(zé)任承擔(dān)問題未作出明確地回答。

三、應(yīng)對之策

為了進一步規(guī)范企業(yè)在抓取、收集、存儲、使用個人信息，以及后續(xù)的傳輸、轉(zhuǎn)讓、共享等環(huán)節(jié)中的處理、處置行為，遏制侵害個人信息的行為，最大程度地保障個人的合法的信息權(quán)益。我們不僅需要在立法層面給予支撐，還需要在行業(yè)規(guī)范、技術(shù)支持等多方面給予保障。

(一)完善“隱私協(xié)議”的標準

隱私協(xié)議應(yīng)當(dāng)是企業(yè)“合規(guī)”的重要體現(xiàn)，是企業(yè)約束自身行為和配合監(jiān)督管理的重要機制，是保障個人數(shù)據(jù)安全與規(guī)范處理的一道“防護墻”，而不應(yīng)是企業(yè)在個人信息保護日趨嚴格的形式下規(guī)避自身風(fēng)險的重要手段。隱私協(xié)議應(yīng)清晰、準確、完整地描述企業(yè)的個人信息處理行為。根據(jù)目的對應(yīng)的不同業(yè)務(wù)功能，詳細列出收集的個人信息類型；明確描述哪些類型的個人信息屬于特定業(yè)務(wù)功能所必需的；收集身份證、護照、駕照等法定證件信息和個人生物識別信息時，應(yīng)專門提醒個人信息主體此次收集活動涉及的信息，并說明處理目的、處理規(guī)則；不得使用概括性語言綜述所收集個人信息；說明個人信息在使用過程中涉及的地理區(qū)域，如個人信息存儲和備份的地域，個人信息傳輸過程中涉及的地域范圍；如果個人信息存在跨境傳輸情況，需單獨列出或重點標識；使用個人信息時，是否形成直接用戶畫像及其用途需要明確說明；根據(jù)個人信息的使用情況，注明不同類型個人信息預(yù)計的保留時間；確需改變信息收集和使用的目的，應(yīng)當(dāng)說明會征得用戶的同意等。

(二)信息收集、使用行業(yè)規(guī)范的確立

企業(yè)要切實履行信息安全義務(wù)，包括但不限于對信息處理、管控等技術(shù)人員的培訓(xùn)；建立內(nèi)部自查自糾、監(jiān)督、補救制度；保障個人信息主體的投訴渠道，并建立健全行之有效的問責(zé)機制；②切實履行好大數(shù)據(jù)平臺、企業(yè)的責(zé)任，構(gòu)建一個以平臺、企業(yè)為基礎(chǔ)的技術(shù)融合、業(yè)務(wù)融合、信息融合，跨業(yè)務(wù)、跨部門的新的生態(tài)，在信息的收集、應(yīng)用當(dāng)中，要保護好各方的權(quán)益。推動企業(yè)建立行業(yè)自律機制，完善自身的信息保護水平。③預(yù)防信息侵權(quán)現(xiàn)象的產(chǎn)生，就更多地要在平臺企業(yè)和上下游企業(yè)、和用戶之間訂立一些規(guī)則，比如科學(xué)利用三重授權(quán)原則；以及在行業(yè)內(nèi)部建立健全嚴格的管理規(guī)范和明確的處罰機制等。

(三)個人信息保護技術(shù)手段的升級

善于利用信息失真、信息加密、限制發(fā)布、差分隱私保護等多種技術(shù)手段以確保被收集的個人信息的完整性，保證被收集的個人信息在存儲、傳輸、處置和使用的過程中不被惡意篡改；利用訪問認證、識別技術(shù)，對來訪用戶的身份、資格進行驗證。④反“匿名化”、嚴格規(guī)制信息關(guān)聯(lián)等措施同樣值得重視。

(四)強化個人的信息保護意識

大數(shù)據(jù)時代，個人信息被惡意抓取、盜用、濫用以及泄露，與個人保護意識的缺失有直接關(guān)聯(lián)。在辦理某些需要提供個人信息的事務(wù)、業(yè)務(wù)時，未與相關(guān)企業(yè)約定信息保密責(zé)任。在使用互聯(lián)網(wǎng)時，未加防范地將個人信息輸入、錄入，不注重保護，甚至不知道自身享有的信息權(quán)益，就可能將自己陷入信息被惡意泄露、濫用的風(fēng)險中。即使發(fā)現(xiàn)自身的信息被濫用、泄露，甚至造成不良后果之時，諸多市民也因為自身的維權(quán)意識不高、法治素養(yǎng)的缺乏，助長了這種違法行為的泛濫。因此，加強信息保護宣傳教育、開展信息保護講座、提高個人信息保護意識刻不容緩。⑤

(五)完善個人信息保護的監(jiān)管機制

強化網(wǎng)絡(luò)安全監(jiān)管，切實保障個人信息，政府部門有無可推卸的責(zé)任。然而，政府監(jiān)管方面仍舊存在不少漏洞。一監(jiān)管機構(gòu)權(quán)責(zé)未明。個人信息與個人的財務(wù)、生理、隱私等各方各面息息相關(guān)，信息保護涉及面廣，應(yīng)由專業(yè)機構(gòu)統(tǒng)一監(jiān)管，而當(dāng)下的信息監(jiān)管機構(gòu)過于分散、權(quán)責(zé)不明。二缺少強制性的管理標準。《個人信息安全規(guī)范》作為國家推薦性標準，不具有強制約束力。除非個人主動承諾、企業(yè)明確援引，或者相關(guān)法律法規(guī)有明確規(guī)定，才可以在個人、企業(yè)之間產(chǎn)生實質(zhì)性作用。三監(jiān)管措施不嚴，使得個人信息、隱私被惡意抓取、使用，更有甚者惡意更改個人相關(guān)信息；四行政處罰較低。違法成本過低，對于獲益者來說，根本不足以遏制其違法行為。

【注釋】

①⑤史衛(wèi)民.大數(shù)據(jù)時代個人信息保護的現(xiàn)實困境與路徑選擇[J].情報雜志,2013,32(12):155-159+154.

②李卓卓,馬越,李明珍.數(shù)據(jù)生命周期視角中的個人隱私信息保護——對移動APP服務(wù)協(xié)議的內(nèi)容分析[J].情報理論與實踐,2016,39(12):63-68.

③劉耀華.借歐美“隱私盾”協(xié)議 響我國網(wǎng)絡(luò)數(shù)據(jù)保護的警鐘[J].通信世界,2016(21):22-23.

④劉雅輝,張鐵贏,靳小龍,程學(xué)旗.大數(shù)據(jù)時代的個人隱私保護[J].計算機研究與發(fā)展,2015,52(01):229-247.